Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La protección del administrador es una característica de seguridad de la plataforma en Windows 11 diseñada para garantizar que los usuarios se ejecuten con los privilegios mínimos necesarios, elevando a los derechos de administrador solo cuando sea necesario y solo con la aprobación explícita del usuario. Esta característica funciona según el principio de privilegios mínimos, manteniendo a los usuarios en un estado desfasado y concediendo derechos de elevación Just-In-Time solo cuando sea necesario.
En el panorama digital actual, los usuarios con derechos de administrador en Windows tienen funcionalidades eficaces para modificar configuraciones y realizar cambios en todo el sistema que podrían afectar a la posición de seguridad general de un dispositivo Windows 11. Los privilegios administrativos crean un vector de ataque significativo. Los actores malintencionados a menudo aprovechan estos privilegios para obtener acceso no autorizado a los datos del usuario, poner en peligro la privacidad y deshabilitar las características de seguridad del sistema operativo sin el conocimiento del usuario.
La protección del administrador soluciona este desafío exigiendo a los usuarios que comprueben su identidad con Windows Hello autenticación integrada. Aplica esta comprobación antes de permitir acciones que necesitan privilegios de administrador, como instalar software, cambiar la configuración del sistema, como la hora o el registro, y acceder a datos confidenciales.
Ventajas
La protección del administrador proporciona varias ventajas clave:
Seguridad mejorada: al requerir autorización explícita del usuario para cada tarea administrativa, la protección del administrador protege Windows frente a cambios accidentales por parte de los usuarios y cambios por malware. Ayuda a garantizar que los usuarios sean conscientes de las acciones potencialmente perjudiciales antes de que se produzcan, lo que proporciona una capa adicional de defensa contra amenazas.
Control de usuario: la protección del administrador requiere que los usuarios decidan explícitamente si quieren que una aplicación determinada se ejecute con privilegios elevados. Esto ayuda a garantizar que solo las aplicaciones autorizadas puedan realizar cambios en el sistema, lo que reduce el riesgo de modificaciones accidentales o malintencionadas.
Reducción de malware: el software malintencionado a menudo se basa en privilegios de administrador para cambiar la configuración del dispositivo y ejecutar acciones dañinas. La protección del administrador interrumpe la cadena de eliminación de ataques, ya que el malware ya no puede adquirir privilegios de administrador de forma silenciosa.
Requisitos del sistema
La protección del administrador estará disponible en Windows 11 dispositivos pronto. La característica enumerada anteriormente en la actualización no de seguridad de octubre de 2025 (KB5067036) se ha revertido y se implementará en una fecha posterior.
Funcionamiento de la protección del administrador
En esencia, la protección del administrador funciona según el principio de privilegios mínimos. Cuando un usuario inicia sesión en Windows, recibe un token de usuario con privilegios. Sin embargo, cuando se necesitan privilegios de administrador, Windows solicita que el usuario autorice la operación. Una vez autorizado, Windows usa una cuenta de usuario oculta y separada por perfiles generada por el sistema para crear un token de administrador aislado. Este token se emite al proceso de solicitud y se destruye una vez que finaliza el proceso, lo que garantiza que los privilegios de administrador no se conserven.
La protección del administrador presenta un nuevo límite de seguridad con compatibilidad para corregir los errores de seguridad notificados. Los cambios en la arquitectura garantizan que nadie pueda acceder al código o los datos de las sesiones con privilegios elevados sin la autorización adecuada.
Es posible que algunas aplicaciones dependan de que los derechos de administrador siempre estén presentes y que el perfil con privilegios elevados sea accesible al ejecutar sin privilegios elevados. Con este nuevo enfoque, es posible que algunos escenarios de esas aplicaciones necesiten actualizaciones para funcionar sin problemas con el modelo de seguridad mejorado. Estamos colaborando activamente con los desarrolladores de aplicaciones para ayudarles a adaptarse, lo que garantiza que sus experiencias favoritas permanezcan sin problemas mientras mantiene su sistema protegido. Consulte Mejora de la seguridad de la aplicación con protección de administrador para obtener instrucciones sobre el desarrollo de aplicaciones.
En última instancia, estos cambios se tratan de hacer que Windows sea más seguro para ti, para que puedas disfrutar de características eficaces con mayor tranquilidad.
Aspectos destacados de la arquitectura clave
Elevación Just-In-Time: los usuarios permanecen con privilegios y solo se les conceden derechos de elevación Just-In-Time durante una operación de administración. El token de administrador se descarta después de su uso y se vuelve a crear cuando se realiza otra tarea que requiere privilegios de administrador.
Separación de perfiles: la protección del administrador usa cuentas de usuario ocultas, generadas por el sistema y separadas por perfiles para crear tokens de administrador aislados. Esto ayuda a garantizar que el malware de nivel de usuario no pueda poner en peligro la sesión con privilegios elevados, lo que convierte la elevación en un límite de seguridad.
Sin elevaciones automáticas: los usuarios deben autorizar interactivamente todas las operaciones de administrador. Esto garantiza que el usuario administrador permanezca en control total y que no se abuse de los privilegios de administrador.
Windows Hello integración: la protección del administrador se integra con Windows Hello para una autorización sencilla y segura.
Configuración
La protección del administrador se puede habilitar mediante varios métodos:
- Catálogo de configuración de Microsoft Intune (versión preliminar)
- CSP
- Directiva de grupo
- Configuración de Seguridad de Windows (versión preliminar)
Intune
GPO
CSP
Seguridad de WindowsNota
- Esta opción está disponible actualmente en versión preliminar. Se implementará gradualmente para todos.
- La protección del administrador se puede configurar con directivas del proveedor de servicios de configuración (CSP) mediante Intune. Use la directiva personalizada para configurar:
- UserAccountControl_TypeOfAdminApprovalMode [enable]
- UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection [configurar símbolo del sistema]
Para configurar dispositivos mediante Microsoft Intune, cree una directiva de catálogo configuración y use la configuración que aparece en la categoría Local Policies Security Options:
- Comportamiento del control de cuentas de usuario del símbolo del sistema de elevación para la protección del administrador
- Tipo de control de cuenta de usuario del modo de aprobación de Administración
Asigne la directiva a un grupo de seguridad que contenga como miembros los dispositivos o usuarios que desea configurar.
Importante
Se requiere un reinicio para que la protección del administrador surta efecto.
Supervisión y generación de informes de eventos
Para realizar un seguimiento de las elevaciones, la protección del administrador tiene dos nuevos eventos de seguimiento de eventos para Windows (ETW) en el proveedor Microsoft-Windows-LUA existente con GUID {93c05d69-51a3-485e-877f-1806a8731346}:
| Id. de evento | Nombre del evento | Descripción |
|---|---|---|
| 15031 | Elevación aprobada | Se ha registrado cuando un usuario se autentica correctamente y se concede la elevación. |
| 15032 | Elevación denegada o con errores | Se registra cuando se deniega la elevación, se produce un error o se agota el tiempo de espera. |
Qué se registra
- Identificador de seguridad (SID) del usuario que desencadenó la elevación
- Nombre y ruta de acceso de la aplicación
- El resultado de elevación (aprobado, denegado, tiempo de espera)
- La cuenta de administrador administrada del sistema usada para realizar la tarea
- El método de autenticación (por ejemplo, contraseña, PIN, Windows Hello)
Captura de estos eventos
Habilitar el proveedor Microsoft-Windows-LUA (GUID:
{93c05d69-51a3-485e-877f-1806a8731346})Uso de Logman o WPR (Grabadora de rendimiento de Windows) para iniciar una sesión de seguimiento
Filtrar por identificadores de evento
15031y15032Analice el archivo .etl resultante con Windows Analizador de rendimiento o su herramienta preferida.
Este es un comando de ejemplo:
logman start AdminProtectionTrace -p {93c05d69-51a3-485e-877f-1806a8731346} -ets
Solución de problemas
Use cuentas de servicio locales de SYSTEM o dedicadas para tareas programadas o scripts establecidos para ejecutarse "con los privilegios más altos". Básicamente, rediseñe los scripts para evitar esperar un token de administrador siempre activado. Cualquier flujo de trabajo que supone que hay una sesión de administrador disponible tendrá que ajustarse.
Cuando las aplicaciones se ejecutan con privilegios elevados con protección de administrador, las credenciales de Sign-On único (SSO) de la sesión estándar no están disponibles para la sesión con privilegios elevados. Cualquier dominio o autenticación en la nube debe restablecerse dentro de esa sesión con privilegios elevados.
Unidades de red o recursos inaccesibles desde aplicaciones con privilegios elevados. Instálelo en el contexto de usuario para habilitar las solicitudes de credenciales de red. Si es esencial instalar una aplicación con privilegios elevados, copie los archivos de instalación en una unidad local antes de elevarla.
Los datos de configuración de las aplicaciones no se transmiten a través de los perfiles normales (sin privilegios elevados) y elevados. Solo elevar las aplicaciones que realmente necesita. Considere la posibilidad de configurar esas aplicaciones para usar directorios de datos comunes accesibles para ambos perfiles (si es posible).
Ámbito de protección de administrador: cuentas de administrador en un dispositivo. El inicio de sesión remoto, los perfiles móviles o los administradores de copia de seguridad no están en el ámbito.
Algunas aplicaciones no muestran el icono de inicio en el menú Inicio después de la instalación. Si ha instalado con privilegios elevados, debe navegar manualmente a la ubicación de instalación:
AppData\Roaming\Microsoft\Windows\Start Menu\Programs\<App name>Si se bloquea la actualización de cualquiera de las aplicaciones, deshabilite temporalmente la característica. (Se necesita reiniciar).
Cuando no se va a habilitar esta característica:
- Para dispositivos que requieren Hyper-V o Subsistema de Windows para Linux (WSL).
- Si usa aplicaciones que no pueden acceder a extensiones de Edge ni a archivos compartidos entre perfiles. Por ejemplo: algunos instaladores (que usan WebView2 internamente) pueden solicitar permisos elevados incluso cuando se inician normalmente que muestran "Microsoft Edge no puede leer y escribir en su directorio de datos".